Boletín semanal de Ciberseguridad, 11 – 17 de marzoTelefónica Tech 17 marzo, 2023 Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero de 2022, siendo atribuida su creación a Hadoken Security Group. Xenomorph V3 o Xenomorph.C, que es como se ha clasificado esta nueva variante, estaría siendo distribuida mediante la plataforma Zombinder, en Google Play store, apareciendo como un supuesto conversor de moneda, que descarga una actualización una aplicación que se hace pasar por Google Protect. Una de las principales novedades de esta versión es la introducción de un marco ATS (Automated Transfer Systems) utilizado para extraer automáticamente credenciales, saldo de la cuenta, iniciar transacciones, obtener tokens MFA y finalizar transferencias de fondos. Asimismo, también ha agregado capacidades de Cookie stealer. Xenomorph V3 es capaz de atacar más de 400 instituciones bancarias y financieras, incluidas billeteras de criptomonedas, esto supone un aumento muy significativo del volumen de víctimas, ya que en su primera versión tan sólo apuntaba contra 56 bancos europeos. Cabe señalarse asimismo que son instituciones bancarias españolas contra las que está dirigido principalmente, seguido de Turquía, Polonia y Estados Unidos. Por último, los investigadores señalan que se trata de uno de los troyanos más avanzados y peligrosos en circulación, y que podría serlo más ya que probablemente empiece a distribuirse como MaaS. Más info ⇾ * * * Patch Tuesday de Microsoft incluye dos 0-day activamente explotados En su última actualización de seguridad, Microsoft ha corregido un total de 83 vulnerabilidades que afectan a varios de sus productos entre los que se encuentran afectados Microsoft Windows, Office, Exchange o Azure. En concreto, nueve de estas vulnerabilidades habrían recibido una puntuación de severidad crítica, y otras 69 se habrían puntuado como «importantes». Entre todas ellas, destaca que dos de estos errores de seguridad serían 0-day activamente explotados, CVE-2023-23397, una vulnerabilidad de escalado de privilegios en Outlook con una puntuación CVSSv3 de 9.8 y CVE-2023-24880, una vulnerabilidad de bypass de características de seguridad en Windows SmartScreen con una puntuación CVSSv3 de 5.4. Atendiendo a la vulnerabilidad CVE-2023-23397, Microsoft también ha publicado un script de esta. Cabe señalarse al respecto, que de acuerdo con las investigaciones, esta habría sido explotada como 0-day desde al menos abril de 2022, teniéndose constancia de quince organizaciones atacadas mediante esta. La vulnerabilidad fue descubierta por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), quien informó de Microsoft. Esta vulnerabilidad podría ser aprovechada por un atacante para enviar un correo electrónico especialmente diseñado contra un cliente de Outlook, el cual se activa automáticamente cuando Outlook lo recupera y procesa, produciéndose la explotación antes de que el email se vea en el panel de vista previa, y de esta forma robar credenciales NTLM. Más info ⇾ * * * YoroTrooper: nuevo actor amenaza enfocado al ciberespionaje Investigadores de Cisco Talos han detectado un nuevo actor amenaza focalizado en la ejecución de campañas de ciberespionaje. YoroTrooper, que es como lo han denominado los investigadores, llevaría activo desde al menos junio de 2022, si bien no habría sido hasta febrero de 2023 cuando ha ganado mayor popularidad. Hasta el momento se han detectado campañas de YoroTrooper dirigidas contra organizaciones gubernamentales y energéticas en países de la Comunidad de Estados Independientes (CIS), además de la Organización Mundial de la Propiedad Intelectual (WIPO) y una agencia de atención médica de la Unión Europea. El vector de entrada de los ataques es mediante correos electrónicos de phishing con un archivo adjunto malicioso. YoroTrooper utiliza varios troyanos de acceso remoto como AveMaria/Warzone RAT, LodaRAT y un implante personalizado en Python. También emplea stealers como Stink Stealer, y los frameworks Nuitka o PyInstaller. Asimismo, se utiliza Telegram como C2 para las comunicaciones entre los operadores y los malware instalados. Más info ⇾ * * * CISA advierte de la explotación de un 0-day en Adobe y urge a la aplicación del parche La Agencia de Seguridad de la Ciberseguridad y la Infraestructura de EE UU (CISA) ha alertado de la explotación como 0-day de la vulnerabilidad CVE-2023-26360 en Adobe ColdFusion y ha dado un plazo de tres semanas a todas las agencias gubernamentales para que apliquen el parche publicado el miércoles por Adobe. Aunque en el Patch Tuesday de Adobe afirmó que la vulnerabilidad había sido explotada de forma muy limitada, la CISA subió el nivel de alerta al calificar de urgente y obligatoria la necesidad de aplicar los parches, confirmando así las palabras de Charlie Arehart, descubridor de la vulnerabilidad y que criticó a Adobe por la escasa importancia otorgada a la vulnerabilidad, que permite la ejecución de código arbitrario. Más info ⇾ * * * Vulnerabilidades 0-day en los chipsets Exynos de Samsung Project Zero, el equipo de seguridad de Google, reveló en una publicación la existencia de 18 vulnerabilidades 0-day en los chipsets Exynos de Samsung, utilizados en dispositivos móviles, portátiles y coches. Cuatro de estos fallos son los más graves; sería el caso de la vulnerabilidad identificada como CVE-2023-24033 y otros tres a los que no se les ha asignado aún CVE, cuya explotación permitiría la ejecución remota de código desde Internet a la banda base y para la cual el atacante no necesitaría la interacción de la víctima, solamente su número de teléfono. Por otro lado, el resto de las vulnerabilidades, algunas de ellas identificadas CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, no se han puntuado como graves al requerir un operador de red móvil malicioso o que el atacante tenga acceso local al dispositivo. En cuanto a los dispositivos afectados, Samsung ha publicado una actualización de seguridad en la que los indica. Respecto a los parches, los dispositivos Pixel han recibido una corrección para una de las vulnerabilidades, mientras que, al resto de usuarios afectados se les recomienda desactivar las llamadas Wi-Fi y Voice-over-LTE. Más info ⇾ Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de BenfordCiberseguridad: eventos “cisne negro” en un mundo conectado
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
Javier Herrero Mi experiencia como voluntario en la iniciativa AulaCibersegura para proteger a los menores en internet La iniciativa AulaCibersegura Desde hace mucho tiempo tenía la inquietud y necesidad personal de contribuir de alguna forma real y directa al programa de voluntariado que promueve Telefónica. Antes me...
